ทำไมเราไม่รวมตัวสร้างจำนวนสุ่ม?

มีแอปพลิเคชั่นมากมายที่ใช้ตัวสร้างตัวเลขสุ่มหลอก ดังนั้นผู้คนจึงใช้สิ่งที่พวกเขาคิดว่ายอดเยี่ยมเท่านั้นที่จะพบในภายหลังว่ามันมีข้อบกพร่อง สิ่งนี้เกิดขึ้นกับเครื่องสร้างตัวเลขสุ่มจาวาสคริปต์ RandU เร็วเกินไปเช่นกัน นอกจากนี้ยังมีปัญหาของการเริ่มต้นเริ่มต้นที่ไม่เหมาะสมสำหรับบางอย่างเช่น Twister

ฉันไม่สามารถหาตัวอย่างของใครก็ตามที่รวมเครื่องกำเนิดไฟฟ้าสองตระกูลหรือมากกว่าเข้ากับผู้ดำเนินการ xor ปกติ หากมีพลังงานคอมพิวเตอร์เพียงพอที่จะเรียกใช้สิ่งต่าง ๆ เช่นการใช้งาน java.SecureRandom หรือ Twister ทำไมคนไม่รวมพวกเขา? ISAAC xor XORShift xor RandU ควรเป็นตัวอย่างที่ดีพอสมควรและคุณสามารถเห็นจุดอ่อนของเครื่องกำเนิดไฟฟ้าเดี่ยว ๆ ที่ได้รับการผ่อนปรนจากผู้อื่น นอกจากนี้ยังควรช่วยในการกระจายตัวเลขไปสู่มิติที่สูงขึ้นเนื่องจากอัลกอริทึมภายในนั้นแตกต่างกันโดยสิ้นเชิง มีหลักการพื้นฐานบางอย่างที่พวกเขาไม่ควรนำมารวมกัน?

หากคุณต้องการสร้างตัวสร้างตัวเลขสุ่มจริงผู้คนอาจแนะนำให้คุณรวมแหล่งข้อมูลเอนโทรปีสองแหล่งขึ้นไป ตัวอย่างของฉันแตกต่างกันอย่างไร

ฉันไม่รวมตัวอย่างทั่วไปของตัวเลื่อนการตอบรับเชิงเส้นหลายตัวที่ทำงานร่วมกันเนื่องจากพวกเขามาจากตระกูลเดียวกัน

IIRC (และนี่คือจากหน่วยความจำ) ผู้ขายหนังสือแรนด์ A ล้าน Random Digits ในปี 1955 ทำสิ่งนี้ ก่อนที่คอมพิวเตอร์จะมีราคาถูกผู้คนเลือกสุ่มตัวเลขจากหนังสือเล่มนี้

ผู้เขียนสร้างบิตสุ่มด้วยเสียงอิเล็กทรอนิกส์ แต่มันกลับกลายเป็น biassed (มันยากที่จะทำให้ flipflop ใช้เวลาเท่ากันทุกครั้งกับ flip และ flop) อย่างไรก็ตามการรวมบิตทำให้การกระจายสม่ำเสมอกว่า

แน่นอนว่าคุณสามารถรวม PRNG เช่นนี้ได้หากคุณต้องการสมมติว่าพวกเขามีการเพาะอย่างอิสระ อย่างไรก็ตามมันจะช้าลงและอาจจะไม่แก้ปัญหาเร่งด่วนที่สุดที่คนมี

ในทางปฏิบัติหากคุณมีข้อกำหนดสำหรับ PRNG ที่มีคุณภาพสูงมากคุณใช้ PRNG ที่มีการเข้ารหัสที่แข็งแรงซึ่งได้รับการตรวจสอบอย่างดีและคุณปลูกมันด้วยเอนโทรปีที่แท้จริง หากคุณทำสิ่งนี้โหมดความล้มเหลวที่เป็นไปได้มากที่สุดของคุณจะไม่เกิดปัญหากับอัลกอริทึม PRNG โหมดความล้มเหลวที่เป็นไปได้มากที่สุดคือการขาดเอนโทรปีเพียงพอ (หรืออาจเกิดข้อผิดพลาดในการใช้งาน) Xor-ing หลาย PRNG ไม่ได้ช่วยในโหมดความล้มเหลวนี้ ดังนั้นหากคุณต้องการ PRNG ที่มีคุณภาพสูงมากอาจมีจุดเล็ก ๆ น้อย ๆ

อีกทางเลือกหนึ่งถ้าคุณต้องการ PRNG เชิงสถิติที่ดีพอสำหรับการจำลองสถานการณ์โดยทั่วไปข้อกังวลอันดับ 1 คือความเร็ว Xor-ing ทำให้ PRNG ทำงานช้าลงและทำให้มันซับซ้อนขึ้นดังนั้นจึงไม่สามารถตอบสนองความต้องการหลักในบริบทนั้นได้

ตราบใดที่คุณแสดงความระมัดระวังและความสามารถที่เหมาะสม PRNG มาตรฐานนั้นดีเกินพอดังนั้นจึงไม่มีเหตุผลว่าทำไมเราถึงต้องการนักเล่นเกมตัวยง (ไม่จำเป็นต้องมี xor-ing) หากคุณไม่มีความใส่ใจหรือความสามารถในระดับที่น้อยที่สุดคุณอาจจะไม่ได้เลือกสิ่งที่ซับซ้อนเช่น xor-ing และวิธีที่ดีที่สุดในการปรับปรุงสิ่งต่าง ๆ คือการมุ่งเน้นที่การเอาใจใส่และความสามารถในการเลือก PRNG มากกว่าใน xor-ing

ที่สำคัญที่สุด : โดยทั่วไปเคล็ดลับ xor ไม่สามารถแก้ปัญหาที่คนทั่วไปมักใช้เมื่อใช้ PRNG

ในความเป็นจริงมีการประกาศสิ่งที่ล้ำสมัยด้วยการทำสิ่งนี้อย่างแม่นยำ

David Zuckerman ศาสตราจารย์ด้านวิทยาศาสตร์คอมพิวเตอร์ของมหาวิทยาลัยเท็กซัสและนักศึกษาปริญญาเอก Eshan Chattopadhyay พบว่าสามารถสร้างหมายเลขสุ่ม "คุณภาพสูง" ได้โดยการรวมแหล่งข้อมูลแบบสุ่มคุณภาพต่ำสองแหล่งเข้าด้วยกัน

นี่คือกระดาษของพวกเขา: ฟังก์ชั่นแยกสองแหล่งอย่างชัดเจนและฟังก์ชั่นที่ยืดหยุ่น

สมมติว่าเป็นลำดับไบนารีนั่นคือแต่ละตัวเป็นตัวแปรสุ่มที่ได้รับการสนับสนุนบนและตัวแปรนั้นไม่จำเป็นต้องเป็นอิสระ เราสามารถคิดว่าลำดับนี้ถูกสร้างขึ้นด้วยวิธีต่อไปนี้: อันดับแรกเราสุ่มคีย์แบบสุ่มอย่างสม่ำเสมอแล้วใช้ฟังก์ชันเพื่อสร้างลำดับหลอกเทียม$X_1,\ldots,X_n$$X_i$$\{0,1\}$$X_1,\ldots,X_n$$K$$f(K)$

เราจะวัดซีเควนซ์ได้ดีแค่ไหน? ขณะที่มันเป็นไปได้ที่จะวัดว่าดีสำนึกโดยเฉพาะอย่างยิ่งคือ (พูดโดยใช้ความซับซ้อน Kolmogorov) นี่ผมจะมีสมาธิในมาตรการซึ่งขึ้นอยู่กับการจัดจำหน่ายทั้งหมดของตัวแปรสุ่มX_n) ตัวอย่างหนึ่งคือเอนโทรปี แต่เราจะต้องการเพียงสองคุณสมบัติของการวัดของเรา : (ใหญ่กว่าหมายถึงลำดับที่สุ่มขึ้น)$X_1,\ldots,X_n$$(X_1,\ldots,X_n)$$L$$L(\cdot)$

• หากเป็นกำหนดลำดับ (เช่นลำดับคงที่) แล้วX_n) L ( X 1 ⊕ y ที่1 , ... , X n ⊕ Y n ) = L ( X 1 , ... , X n$y_1,\ldots,y_n$$L(X_1 \oplus y_1, \ldots, X_n \oplus y_n) = L(X_1,\ldots,X_n)$

• ถ้าเป็นลำดับหลอกเทียมอิสระสองลำดับเป็นบิตสุ่มอิสระและแล้ว1)$\vec{X^0},\vec{X^1}$$T \in \{0,1\}$$\vec{Z} = \vec{X^T}$$L(\vec{Z}) \geq \min(\vec{X^0},\vec{X^1})$

คุณสมบัติแรกหมายความว่าการวัดนั้นไม่แปรผันภายใต้การพลิกบิตที่คุณสมบัติที่สองหมายความว่าหากเราผสมการแจกแจงสองแบบผลลัพธ์ก็จะดีอย่างน้อยเท่ากับแย่ลง$i$$\vec{X},\vec{Y}$

การวัดแบบแผนใด ๆ ที่สมเหตุสมผลจะทำให้เกิดความพึงพอใจในคุณสมบัติแรก สถานที่ให้บริการที่สองคือความพึงพอใจโดยมาตรการที่นิยมมากที่สุดเช่นเอนโทรปีของและนาทีเอนโทรปีH_$H$$H_\infty$

ตอนนี้เราสามารถระบุและพิสูจน์ทฤษฎีบทที่แสดงว่า XORing ลำดับหลอกเทียมสองชุดเป็นความคิดที่ดีเสมอ

ทฤษฎีบท. ปล่อยให้เป็นลำดับ pseudorandom สองชุดที่มีความยาวเท่ากันและให้เป็นมาตรการสุ่มแบบสุ่มที่ยอมรับได้ จากนั้น$\vec{X},\vec{Y}$$L$

พิสูจน์ สมมติว่า(Y) จากนั้นเป็นส่วนผสมของการกระจายผสมตามการกระจายของYตั้งแต่และมีส่วนผสมเป็นอย่างน้อยดีเท่าการกระจายที่เลวร้ายที่สุดที่ถูกผสมเราได้รับ(X) $L(X) \geq L(Y)$$X \oplus Y$$X \oplus y$$Y$$L(X \oplus y) = L(X)$$L(X \oplus Y) \geq L(X)$$~\square$

สิ่งที่ทฤษฎีบทนี้หมายถึงคือถ้าคุณ XOR สองลำดับหลอกเทียมที่สร้างขึ้นโดยใช้สองคีย์อิสระผลลัพธ์อย่างน้อยก็จะดีเท่าลำดับที่ดีกว่าคือ XORed ด้วยความเคารพต่อมาตรการสุ่มแบบยอมรับได้

ในทางปฏิบัติเพื่อที่จะใช้สองคีย์อิสระเราอาจขยายหนึ่งคีย์เป็นสองคีย์ในแบบจำลองเทียม ปุ่มทั้งสองนั้นไม่เป็นอิสระ อย่างไรก็ตามหากเราใช้วิธี "แพง" ในการขยายคีย์หนึ่งเป็นสองปุ่มเราคาดว่าผลลัพธ์สองปุ่มจะทำให้ "ดู" เป็นอิสระและดังนั้นสำหรับทฤษฎีบทที่จะถือ "คุณธรรม" ในการเข้ารหัสเชิงทฤษฎีมีวิธีทำให้ข้อความนี้แม่นยำ

ถ้าอย่างนั้นเราควร XOR เครื่องกำเนิดไฟฟ้าจำนวนปลอมสองตัวหรือไม่? หากเราไม่ได้ถูก จำกัด ด้วยความเร็วนั่นเป็นความคิดที่ดีอย่างแน่นอน แต่ในทางปฏิบัติเรามีการ จำกัด ความเร็ว จากนั้นเราสามารถถามคำถามต่อไปนี้ สมมติว่าเราได้รับ PRNG สองตัวแต่ละตัวมีพารามิเตอร์ซึ่งควบคุมเวลาทำงาน (และความแข็งแกร่ง) ของเครื่องกำเนิด ตัวอย่างเช่นอาจเป็นความยาวของ LFSR หรือจำนวนรอบ สมมติว่าเราใช้หนึ่ง PRNG พร้อมพารามิเตอร์และอีกอันที่มีพารามิเตอร์และ XOR เป็นผลลัพธ์ เราสามารถสันนิษฐานได้ว่าเพื่อให้เวลาการทำงานโดยรวมคงที่ ตัวเลือกที่ดีที่สุดของ$T$$T$$T_1$$T_2$$T_1 + T_2 = t$$T_1,T_2$? ที่นี่มีการแลกเปลี่ยนซึ่งยากที่จะตอบโดยทั่วไป อาจเป็นไปได้ว่าการตั้งค่านั้นแย่กว่าหรือมาก$(t/2,t/2)$$(t,0)$$(0,t)$

คำแนะนำที่ดีที่สุดที่นี่คือยึดติดกับ PRNG ยอดนิยมซึ่งถือว่าแข็งแกร่ง หากคุณสามารถมีเวลามากขึ้นในการสร้างลำดับของคุณให้ใช้ XOR หลายชุดโดยใช้คีย์อิสระ (หรือปุ่มที่สร้างขึ้นโดยการขยายคีย์เดียวโดยใช้ PRNG ราคาแพง)

ฉันจะให้ช็อตนี้เนื่องจากฉันถูกรบกวนโดยคำแนะนำที่ให้ไว้ในคำตอบอื่น ๆ

ให้เป็นลำดับบิตแบบไม่สิ้นสุดที่สร้างโดย RNG สองตัว (ไม่จำเป็นต้องมี PRNG ซึ่งกำหนดล่วงหน้าเมื่อทราบสถานะเริ่มต้น) และเรากำลังพิจารณาความเป็นไปได้ในการใช้ลำดับด้วยความหวังว่าจะปรับปรุงพฤติกรรมในบางแง่มุม มีวิธีการมากมายที่อาจจะดีกว่าหรือแย่กว่าเมื่อเทียบกับแต่ละและ ; นี่เป็นเพียงเล็กน้อยที่ฉันเชื่อว่ามีความหมายมีประโยชน์และสอดคล้องกับการใช้คำปกติ "ดีกว่า" และ "แย่ลง":$\vec{X},\vec{Y}$$\vec{X} \oplus \vec{Y}$$\vec{X} \oplus \vec{Y}$$\vec{X}$$\vec{Y}$

• (0) ความน่าจะเป็นของการสุ่มที่แท้จริงของลำดับนั้นเพิ่มขึ้นหรือลดลง
• (1) ความน่าจะเป็นที่เพิ่มขึ้นหรือลดลงที่ไม่สามารถสังเกตได้ที่สังเกตได้ (สำหรับผู้สังเกตการณ์บางคนที่ใช้การตรวจสอบจำนวนหนึ่งตามที่คาดการณ์)
• (2) ความรุนแรง / ความชัดเจนของการเพิ่มหรือลดที่ไม่สามารถสังเกตได้ที่สังเกตได้

ก่อนอื่นลองคิดถึง (0) ซึ่งเป็นเพียงหนึ่งในสามที่มีความหวังว่าจะแม่นยำ โปรดสังเกตว่าหากในความเป็นจริงทั้งสองอินพุต RNGs นั้นเป็นแบบสุ่มไม่ฝักใฝ่ฝ่ายใดและเป็นอิสระจากอีกฝ่ายหนึ่งผลลัพธ์ XOR ก็จะสุ่มและไม่เอนเอียงอย่างแท้จริงเช่นกัน เมื่อพิจารณาแล้วให้คำนึงถึงกรณีที่คุณเชื่อว่าเป็นบิตสตรีมที่แยกแบบไม่ลำเอียงอย่างแท้จริง แต่คุณไม่แน่ใจอย่างสมบูรณ์ ถ้าเป็นความน่าจะเป็นตามลำดับที่คุณทำผิดเกี่ยวกับพวกมันแต่ละคนความน่าจะเป็นที่นั้นไม่ใช่สุ่มอย่างแท้จริงแล้วคือ ในความเป็นจริงมากน้อยตั้งแต่$\vec{X},\vec{Y}$$\varepsilon_X,\varepsilon_Y$$\vec{X} \oplus \vec{Y}$$\leq \varepsilon_X \varepsilon_Y \lt min\{\varepsilon_X,\varepsilon_Y\}$$\varepsilon_X,\varepsilon_Y$นั้นถือว่าใกล้เคียงกับ 0 มากที่สุด ("คุณเชื่อว่าพวกมันสุ่มอย่างแท้จริง") และในความเป็นจริงมันดียิ่งกว่านั้นเมื่อเราคำนึงถึงความเป็นไปได้ของเป็นอิสระอย่างแท้จริงแม้ว่าจะไม่ได้สุ่มอย่างแท้จริง: ดังนั้นเราสามารถสรุปได้ว่าในแง่ (0), XOR ไม่สามารถทำร้ายและอาจช่วยได้มาก$\vec{X},\vec{Y}$

อย่างไรก็ตาม (0) ไม่น่าสนใจสำหรับ PRNG เนื่องจากในกรณีของ PRNGs ไม่มีลำดับใด ๆ ที่เป็นปัญหามีโอกาสที่จะสุ่มอย่างแท้จริง

ดังนั้นสำหรับคำถามนี้ซึ่งจริง ๆ แล้วเกี่ยวกับ PRNG เราต้องพูดถึงบางอย่างเช่น (1) หรือ (2) เนื่องจากสิ่งเหล่านี้มีคุณสมบัติและปริมาณเช่น "ที่สังเกตได้", "รุนแรง", "ชัดเจน", "ชัดเจน" ตอนนี้เรากำลังพูดถึงความซับซ้อนของ Kolmogorov และฉันจะไม่พยายามทำให้แม่นยำ แต่ฉันจะไปไกลเท่าที่จะทำให้การยืนยันที่ไม่มีข้อโต้แย้งอย่างหวังว่าโดยมาตรการดังกล่าว "01100110 ... " (จุด = 4) แย่กว่า "01010101 ... " (จุด = 2) ซึ่งแย่กว่า " 00000000 ... "(คงที่)

ทีนี้ใคร ๆ ก็เดาได้ว่า (1) และ (2) จะเป็นไปตามแนวโน้มเช่นเดียวกับ (0) และดังนั้นข้อสรุป "XOR ไม่สามารถทำร้าย" อาจยังคงมีอยู่ อย่างไรก็ตามโปรดสังเกตความเป็นไปได้ที่สำคัญว่าหรือไม่ได้สังเกตแบบสุ่ม แต่ความสัมพันธ์ระหว่างพวกเขาทำให้ไม่สุ่ม แน่นอนที่สุดกรณีนี้คือเมื่อ (หรือซึ่งในกรณีนี้เป็นค่าคงที่ที่เลวร้ายที่สุดของผลลัพธ์ที่เป็นไปได้ทั้งหมด โดยทั่วไปแล้วจะเห็นได้ง่ายไม่ว่าและจะดีแค่ไหน→ Y → X ⊕ → Y → X = → Y → X =not( → Y ) → X ⊕ → Y → X → Y → X → Y → X → Y → X ⊕ → $\vec{X}$$\vec{Y}$$\vec{X} \oplus \vec{Y}$$\vec{X} = \vec{Y}$$\vec{X} = \mathrm{not}(\vec{Y})$$\vec{X} \oplus \vec{Y}$$\vec{X}$$\vec{Y}$$\vec{X}$และจำเป็นต้อง "ปิด" เป็นอิสระเพื่อให้แฮคเกอร์ไม่สังเกตได้ ในความเป็นจริงการไม่ขึ้นอยู่กับการสังเกตได้สามารถกำหนดได้อย่างสมเหตุสมผลว่าการไม่อยู่ในรูปแบบสุ่ม$\vec{Y}$$\vec{X} \oplus \vec{Y}$

การพึ่งพาความประหลาดใจดังกล่าวกลายเป็นปัญหาใหญ่จริงๆ

ตัวอย่างของสิ่งที่ผิดพลาด

คำถามระบุว่า "ฉันไม่รวมตัวอย่างทั่วไปของการเลื่อนการตอบรับเชิงเส้นหลายครั้งที่ทำงานร่วมกันเนื่องจากพวกเขามาจากครอบครัวเดียวกัน" แต่ฉันจะไม่รวมการกีดกันนั้นในขณะนั้นเพื่อให้ตัวอย่างชีวิตจริงที่เรียบง่ายชัดเจนของสิ่งที่สามารถผิดพลาดกับ XORing

ตัวอย่างของฉันจะเป็นการใช้งานแบบเก่าของ rand () ซึ่งอยู่บน Unix บางรุ่นประมาณปี 1983 IIRC การใช้งาน rand () นี้มีคุณสมบัติดังต่อไปนี้:

• ค่าของแต่ละการเรียกไปยัง rand () คือ 15 บิตสุ่มหลอกซึ่งก็คือจำนวนเต็มในช่วง [0, 32767)
• ค่าตอบแทนต่อเนื่องสลับคู่คี่ - คู่ - คี่; นั่นคือบิตที่มีนัยสำคัญน้อยที่สุดสลับ 0-1-0-1 ...
• บิตถัดไปไปน้อยอย่างมีนัยสำคัญมีระยะเวลา 4 หลังจากที่ถัดไปที่มีระยะเวลา 8 ... ดังนั้นบิตสูงสุดสั่งมีระยะเวลา{15}$2^{15}$
• ดังนั้นลำดับของค่าผลตอบแทน 15 บิตของแรนด์ () เป็นระยะที่มีระยะเวลา{15}$2^{15}$

ฉันได้รับไม่สามารถค้นหารหัสต้นฉบับเดิม แต่ฉันคาดเดาจากปะติดปะต่อคู่ของโพสต์จากในhttps://groups.google.com/forum/#!topic/comp.os.vms/9k4W6KrRV3Aว่า มันทำอย่างแม่นยำดังต่อไปนี้ (รหัส C) ซึ่งเห็นด้วยกับหน่วยความจำของฉันของคุณสมบัติด้านบน:

#define RAND_MAX 32767
static unsigned int next = 1;
int rand(void)
{
    next = next * 1103515245 + 12345;
    return (next & RAND_MAX);
}
void srand(seed)
unsigned int seed;
{
    next = seed;
}

อย่างที่ใคร ๆ ก็คาดไม่ถึงการพยายามใช้แรนด์นี้ในหลาย ๆ ทางทำให้เกิดความผิดหวัง

ตัวอย่างเช่นเมื่อถึงจุดหนึ่งฉันพยายามจำลองลำดับการโยนเหรียญแบบสุ่มโดยการทำซ้ำ ๆ :

rand() & 1

คือบิตที่สำคัญน้อยที่สุด ผลที่ได้คือการสับเปลี่ยนหัวอย่างง่าย - หาง - หัว - หาง - นั่นเป็นเรื่องยากที่จะเชื่อในตอนแรก (ต้องเป็นข้อบกพร่องในโปรแกรมของฉัน!) แต่หลังจากที่ฉันเชื่อมั่นในตัวเองมันเป็นเรื่องจริงฉันพยายามใช้บิตถัดไปที่สำคัญน้อยที่สุดแทน นั่นไม่ได้ดีไปกว่านี้เท่าที่สังเกตไว้ก่อนหน้านี้ - บิตนั้นเป็นงวดตามช่วงเวลา 4 ต่อเนื่องในการสำรวจบิตที่สูงขึ้นอย่างต่อเนื่องเผยให้เห็นรูปแบบที่ฉันระบุไว้ก่อนหน้านี้: นั่นคือบิตลำดับสูงกว่าถัดไป การเคารพลำดับสูงสุดนี้เป็นประโยชน์สูงสุดของพวกเขาทั้งหมด อย่างไรก็ตามโปรดทราบว่าไม่มีขีด จำกัด ขาวดำ "บิตมีประโยชน์บิตไม่มีประโยชน์" ที่นี่; ทั้งหมดที่เราสามารถพูดได้ก็คือตำแหน่งบิตที่มีตัวเลขมีระดับของประโยชน์ / ความไร้ประโยชน์ที่แตกต่างกันฉัน- $i$$i-1$

ฉันยังลองสิ่งต่าง ๆ เช่นการตรวจสอบผลลัพธ์เพิ่มเติมหรือ XORing ค่าที่ส่งคืนจากการโทรหลายครั้งไปยัง rand () คู่ของค่าแรนด์ต่อเนื่อง () คู่กันเป็นหายนะแน่นอน - มันส่งผลให้ตัวเลขคี่ทั้งหมด! สำหรับจุดประสงค์ของฉัน (กล่าวคือการสร้างลำดับการพลิกเหรียญอย่างเห็นได้ชัด) ผลลัพธ์ของความเท่าเทียมกันอย่างคงที่ของ XOR นั้นแย่ยิ่งกว่าพฤติกรรมแปลก ๆ ที่สลับกันของต้นฉบับ

ความแตกต่างเล็กน้อยทำให้สิ่งนี้อยู่ในกรอบเดิม: นั่นคือให้เป็นลำดับของค่า 15 บิตที่ส่งกลับโดย rand () พร้อมกับเมล็ดที่กำหนดและลำดับจากเมล็ดที่แตกต่างกันs_Yอีกครั้งจะเป็นลำดับของตัวเลขทั้งคู่หรือคี่ทั้งหมดซึ่งเลวร้ายยิ่งกว่าพฤติกรรมสลับคู่ / คี่เดิม$\vec{X}$$s_X$$\vec{Y}$$s_Y$$\vec{X} \oplus \vec{Y}$

นี่คือตัวอย่างที่แฮคเกอร์ทำเรื่องแย่ลงในแง่ของ (1) และ (2) โดยการตีความที่สมเหตุสมผล มันแย่ลงในหลาย ๆ วิธีเช่นกัน:

• (3) บิตที่มีนัยสำคัญน้อยที่สุดของ XORed คือความลำเอียงที่เห็นได้ชัดนั่นคือมีความถี่ที่ไม่เท่ากันของ 0 และ 1 ของซึ่งต่างจากตำแหน่งบิตที่กำหนดหมายเลขใด ๆ ในอินพุตใดก็ได้ที่ไม่เอนเอียง
• (4) ในความเป็นจริงสำหรับทุกๆ ตำแหน่งบิตมีคู่ของเมล็ดที่ตำแหน่งบิตนั้นมีอคติในผลลัพธ์ XOR และสำหรับทุกคู่ของเมล็ดจะมีตำแหน่งบิต (อย่างน้อย 5) ที่มีอคติใน XOR ผลลัพธ์.
• (5) รอบระยะเวลาของลำดับทั้งหมดของค่า 15 บิตในผลลัพธ์ XOR คือ 1 หรือเมื่อเทียบกับสำหรับต้นฉบับ$2^{14}$$2^{15}$

ไม่มีของ (3), (4), (5) ชัดเจน แต่ทั้งหมดนั้นสามารถตรวจสอบได้ง่าย

ในที่สุดลองพิจารณาการนำเสนอข้อห้ามของ PRNG อีกครั้งจากตระกูลเดียวกัน ฉันคิดว่าปัญหาที่นี่คือมันไม่เคยชัดเจนว่าสอง PRNGs เป็น "จากครอบครัวเดียวกัน" จนกระทั่ง / จนกว่าจะมีใครบางคนเริ่มใช้ XOR และประกาศ (หรือประกาศโจมตี) สิ่งที่แย่ลงในแง่ของ (1) และ (2) คือจนกระทั่งรูปแบบที่ไม่ใช่แบบสุ่มในเอาต์พุตข้ามขีด จำกัด จากการไม่สังเกตเห็นเพื่อสังเกต / อาย / หายนะและ ณ จุดนั้นมันสายเกินไป

ฉันตกใจกับคำตอบอื่น ๆ ที่นี่ซึ่งให้คำแนะนำอย่างไม่มีเงื่อนไข "แฮคเกอร์ไม่สามารถทำร้าย" บนพื้นฐานของมาตรการทางทฤษฎีซึ่งดูเหมือนว่าฉันจะทำงานได้ไม่ดีในการสร้างแบบจำลองสิ่งที่คนส่วนใหญ่คิดว่าเป็น "ดี" และ "ไม่ดี" เกี่ยวกับ PRNGs ในชีวิตจริง คำแนะนำนั้นขัดแย้งกับตัวอย่างที่ชัดเจนและโจ่งแจ้งซึ่งแฮคเกอร์ทำสิ่งที่แย่กว่านั้นเช่นตัวอย่างแรนด์ () ที่ให้ไว้ข้างต้น ในขณะที่เป็นไปได้ว่า PRNG ที่ค่อนข้าง "แข็งแกร่ง" สามารถแสดงพฤติกรรมตรงกันข้ามเมื่อ XORed กับของเล่น PRNG ที่ถูกแรนด์ () ซึ่งทำให้ XOR เป็นความคิดที่ดีสำหรับพวกเขาฉันไม่เห็นหลักฐานในทิศทางนั้นในทางทฤษฎีหรือ สังเกตุดังนั้นฉันจึงไม่มีเหตุผลที่จะคิดว่ามันเกิดขึ้น

โดยส่วนตัวแล้วถูกกัดด้วยความประหลาดใจโดย XORing rand () ในวัยเด็กของฉันและจากความสัมพันธ์แปลกใจอื่น ๆ อีกมากมายนับไม่ถ้วนตลอดชีวิตของฉันฉันมีเหตุผลเล็กน้อยที่จะคิดว่าผลลัพธ์จะแตกต่างกันถ้าฉันลองใช้กลยุทธ์ที่คล้ายกันอีกครั้ง นั่นคือเหตุผลที่ฉันเองลังเลที่จะ XOR ร่วมกันหลาย PRNGs เว้นแต่จะมีการวิเคราะห์และการตรวจสอบอย่างครอบคลุมเพื่อให้ความมั่นใจกับฉันว่าอาจปลอดภัยที่จะทำเช่นนั้นสำหรับ RNG ที่เป็นปัญหา เป็นวิธีรักษาที่เป็นไปได้เมื่อฉันมีความเชื่อมั่นต่ำในหนึ่ง PRNGs บุคคลหนึ่งหรือมากกว่า XORing พวกเขาไม่น่าจะเพิ่มความมั่นใจของฉันดังนั้นฉันจึงไม่น่าจะใช้มันเพื่อวัตถุประสงค์ดังกล่าว ฉันคิดว่าคำตอบสำหรับคำถามของคุณคือความเชื่อมั่นที่ถือกันอย่างแพร่หลาย

การปฏิเสธความรับผิด: คำตอบนี้เป็นเรื่องเกี่ยวกับ "เราเป็นเราไม่ได้ทำมัน" และไม่ใช่ "นี่เป็นข้อพิสูจน์ทางคณิตศาสตร์ว่าทำไมมันสามารถหรือไม่สามารถทำงานได้" ฉันไม่อ้างว่า XOR เปิดตัวช่องโหว่การเข้ารหัสใด ๆ ประเด็นของฉันก็คือประสบการณ์นั้นแสดงให้เราเห็นว่าแม้แต่แผนการที่เรียบง่ายที่สุดก็มักจะแนะนำผลที่ไม่คาดคิด - และนี่คือเหตุผลที่เราหลีกเลี่ยงพวกเขา

"Randomness" เป็นเพียงส่วนหนึ่งของภูเขาน้ำแข็งเมื่อพูดถึง RNGs และ PRNGs มีคุณสมบัติอื่น ๆ ที่มีความสำคัญเช่นความสม่ำเสมอ

ลองนึกภาพลูกเต๋าทั่วไปที่ค่อนข้างดี RNG ด้วยตัวมันเอง แต่ตอนนี้สมมติว่าคุณต้องการช่วง 1-5 แทนที่จะเป็น 1-6 สิ่งแรกที่อยู่ในใจคือการลบใบหน้าทั้ง 6 และแทนที่ด้วย 1 พิเศษซาก "สุ่ม" (ผลลัพธ์ยังคงสุ่มจริง ๆ ) อย่างไรก็ตามความสม่ำเสมอสม่ำเสมอทนทุกข์ทรมานอย่างมาก: ตอนนี้ 1 เป็นสองเท่าของผลลัพธ์อื่น ๆ

การรวมผลลัพธ์จาก RNG หลายรายการเป็นความชันลื่นในทำนองเดียวกัน เช่น. การเพิ่มลูกเต๋า 2 ลูกอย่างง่าย ๆ จะทำการล้างความสม่ำเสมอในขณะที่ "7" ตอนนี้มีโอกาสมากกว่า "2" หรือ "12" 6 เท่า ฉันยอมรับว่า XOR นั้นดูดีกว่าการมองแวบแรก แต่ใน PRNG ไม่มีอะไรเกิดขึ้นเมื่อมองแวบแรก

นี่คือเหตุผลที่เรามักจะยึดติดกับการใช้งานที่เป็นที่รู้จัก - เนื่องจากมีคนใช้เวลาและเงินจำนวนมากในการวิจัยพวกเขาและข้อบกพร่องทั้งหมดเป็นที่รู้จักกันดีเข้าใจและสามารถแก้ไขได้ เมื่อคุณเปิดตัวของคุณเองคุณอาจสร้างช่องโหว่และคุณควรใช้ความพยายามที่คล้ายกันเพื่อพิสูจน์มัน ดังตัวอย่างของลูกเต๋าที่แสดงการรวมกันอาจไม่แตกต่างจากการสร้างขึ้นใหม่ตั้งแต่เริ่มต้น

ความปลอดภัยเป็นสายโซ่ที่แข็งแกร่งพอ ๆ กับองค์ประกอบที่อ่อนแอที่สุด กฎง่ายๆในการรักษาความปลอดภัย: เมื่อใดก็ตามที่คุณรวม 2 สิ่งคุณมักจะได้รับผลรวมของข้อบกพร่องไม่ใช่จุดแข็ง